Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CIBERSEGURIDAD
Actividad 3: Test de penetración a la aplicación web Badstore
utilizando una herramienta de análisis dinámico.
Se da clic en el botón Atacar comienza el ataque hacia la URL ingresada y nos muestra las
alertas encontradas que ZAP almacena.
Elegimos el contexto por defecto de la página web para configurar los parámetros.
Configuración de autenticación.
Se agrega un usuario prueba para realizar mejor Crawling
Como vemos el resultado de análisis nos muestra con mayor detalle las alertas encontradas
con el usuario especifico.
Análisis Activo
Después de realizar el Crawling básico vamos a realizar un escaneo activo el cual nos muestra
las vulnerabilidades existentes en la plataforma.
A continuación, nos muestra las alertas que genero este tipo de ataque activo.
Realizando un análisis más detallado en los resultados del análisis podemos observar las
diferentes vulnerabilidades que la herramienta tiene configurado.
Como podemos ver nos encontró 9 alertas generales categorizadas de la siguiente manera.
Después de realizar un informe encontramos la categorización de los riesgos después del
ataque activo.
SPIDERING-CRAWLING/ANÁLISIS PASIVO
Es una característica que ayuda a descubrir nuevas URL’s en el sitio auditado. Una de las
maneras que realiza esto es analizando el código HTML de la página para descubrir etiquetas
<a> y seguir sus atributos href.
Como podemos ver nos encontró 10 alertas generales categorizadas de la siguiente manera.
Solución.
Validar todos los campos de entrada que el usuario puede ingresar en la aplicación web y
Conceder el mínimo acceso de base de datos que es necesario para la aplicación.
Cross Site Scripting Nivel Alto
Una de las vulnerabilidades encontradas es XSS el cual por medio de la inyección del código
por ejemplo <script>alert(1);</script> podría ejecutar un script para enviar al usuario a otra
sesión donde podría generar un ataque especifico.
Solución.
Asegúrese de realizar la validación de entrada en las interfaces bien definidas dentro de la
aplicación. Esto ayudará a proteger la aplicación, incluso si un componente se reutiliza o se
mueve a otra parte.
Análisis de Fuzzing
El fuzzing, es una técnica mediante la cual se puede comprobar la forma en la que responde,
en este caso una web application, ante el ingreso de datos aleatorios o secuenciales para para
identificar directorios o archivos, detectar vulnerabilidades de inyección de código e incluso
para realizar validaciones por fuerza bruta.